A leveleket egy hq.nato.int végződésű címről küldték, ilyet a NATO brüsszeli központjában használnak. A levelek szövege szerint a mellékelt linkre kattintva hozzá lehet jutni az atlanti szövetségnek az olaszországi földrengésről, illetve a törökországi puccskísérletről gyűjtött friss információihoz, de a link egy olyan szerverre vezetett, amely ártó szándékú programot, illetve kémszoftvert telepít a számítógépre. Az adathalász támadás igen erőteljes lehetett, ezt jelzi, hogy a leveleket 70 olyan címre is elküldték, amelyet már nem is használnak. A szövetségi informatikai biztonsági hivatal (BSI) szerint az apt28 vagy Sofacy Group néven ismert hackercsoport hajthatta végre a támadást. A csoport nyugati hírszerző szolgálatok szerint az orosz katonai hírszerzés (GRU) és a polgári hírszerzés (FSZB) irányítása alatt áll.